内部控制信息披露质量问题研究 上市公司内部控制信息披露问题研究
时间:2018-12-23 12:39:18 来源:柠檬阅读网 本文已影响 人 
摘要:本文以上市商业银行年报为基础数据,分析内部控制信息评价与披露的现状与不足,运用制度经济学的基本理论,从制度层面提出完善内部控制信息披露机制、提高其信息披露质量的建议。
关键词:上市银行 内部控制 信息披露 实证研究
根据制度经济学,外部效应是指在提供一种产品或服务时,社会成本或利益与私人成本或所得之间存在的偏差,也就是一些经济主体在生产、消费过程中对其他经济主体所产生的附加成本或效益。上市商业银行与一般的工商企业不同,银行的杠杆率往往比一般企业高的多,银行的负外部效应有可能自我放大,因此,作为特殊的企业的商业银行信息披露制度作为监管的重要手段格外受到重视。继2005年交行、建行在香港成功上市之后,2006年工行、中行相继完成了股份制改造,实现了在境内外成功上市。上海与深圳证券交易所分别从2007年和2008年开始,要求上市公司在年度报告中进行内部控制评价。2008年5月财政部等五部委的联合下发《企业内部控制基本规范》,旨在降低在复杂环境下经营的商业银行经营风险,提高管理水平,规避外部性问题。目前金融危机背景下,上市商业银行的内部控制信息披露有其必要性与必然性,同时,信息披露的质量至关重要。
一、上市银行内控信息披露的制度安排
(一)内部控制制度日趋完善 1996年财政部发布了《独立审计具体准则第9号――内部控制和审计风险》要求注册会计师审查企业内部控制,并提出内部控制的内容包括控制环境、会计系统和控制程序。1997年中国人民银行颁布《加强金融机构内部控制的指导原则》,对内部控制的目标、原则进行了明确规定,并提出了建立内部控制的要求。1999年中国证监会发布《关于上市公司做好各项资产减值准各等有关事项的通知》。1999年全国人大常务委员会修定通过《中华人民共和国会计法》,明确要求各单位必须建立健内部会计监督制度。2000年审计署实施《中华人民共和国国家审计基本准则》,明确:“审计组实施审计时,应当深入调查了解被审计单位的情况,对其内部控制制度进行测试”。2000年中国证监会发布了《公开发行证券公司信息披露编报规则》,对金融企业上市发行的会计信息等信息披露做了特别规定。同时出台了《商业银行年度报告内容与格式特别规定》,强调要求充分披露上市商业银行公司在报告期内业务、风险、内部控制等方面的特别之处。2002年中国人民银行颁布实施了《商业银行信息披露暂行办法》,对中资商业银行、外资独资银行、中外合资银行、外国银行分行的会计信息披露内容、方式及管理等进行了制度的规范。上海证券交易所与深圳证券交易所分别从2006年和2007年开始,要求上市公司在年度报告中进行内部控制评价。财政部等五部委2008年制定的《企业内部控制基本规范》于2010年1月1日起开始实施。综上可见,会计法律及财政部、人民银行、审计署、证监会等部委均从不同方面、不同层面、不同角度对内部控制建设提出了明确要求。
(二)内控信息披露机制逐步形成 在复杂环境下经营的商业银行投资者对投资行为的选择,不仅基于财务数据及相关信息的分析,还要基于对商业银行内部控制系统设计与运行质量的分析,因此,随着一些列内控信息披露制度的出台,内控信息披露机制逐步形成。2000年中国民生银行宣布行所公布的招股说明书,已完全按照《公开发行证券公司信息披露编报规则》来编制。普华永道中天会计师事务所对民生银行年度和年度内部控制出具的《内部控制状况评审报告》,描述了银行已经建立的包括控制环境、会计系统和控制程序的内部控制制度及框架,并作了简单的评价。2001年至2006年上市商业银行大多在年报中披露内部控制相关信息,有的行还附注了内部控制自我评估报告及事务所的审核报告见(表1)。综上可见,绝大多数上市商业银行披露了内控制度信息,但附录内控自评报告及事务所审核报告为的并不多。根据上交所向各上市公司发出的《关于做好上市公司2008年年度报告工作的通知》,从2008年年报披露开始,在部分上市公司中推行披露履行社会责任的报告和内部控制自我评估报告,则内控信息披露更加完整与透明。以11家上市商业银行的2008年报数据为例,不仅上市商业银行均在年报中披露了内控信息且附有自评报告及事务所的审核报告见(表2)。为了增强上市公司2009年年度报告的真实性、准确性、完整性和及时性,进一步提高上市公司信息披露质量,中国证监会2009年12月30日发布公告,要求各上市公司及相关会计师事务所切实做好2009年年报编制、审计和披露工作,要求建立健全内部控制制度,提高内控信息披露质量。
二、上市银行内部控制信息披露的现状分析
(一)自愿性披露偏少,强制性披露较多 资本市场的理性繁荣离不开信息的充分披露,上市公司会计信息披露是证券市场监管的基石,它既是上市的必要条件,也是保护投资者权益、优化资源在金融机构配置的前提。然而,现实中,信息披露尤其是内部控制的信息披露对于信息提供者来说,则是一种不得已而为之的强制行为。从我国沪市公司2006年披露年报的公司为848家,已披露年报的上市公司进行内部制我评价并披露自我评价报告的仅有30家,占比3.5%。从上市银行内控信息披露的情况看,虽然近年在年报中披露内控信息的比重迅速增加,但源于内部管理需要的主动披露少,一般在年报规定位置披露内控信息,属于被动披露行为。从文中表1可知,2001年是全部上市商业银行均披露内控信息,2006年有的行却没有披露;2002年前大多有自评报告及事务所审核报告作附录,而2003――2006年均没有附件。这一变化与信息披露的制度变迁及强制性有关,上交所发布的《关于做好上市公司2006年年度报告工作的通知》中鼓励(而非强制)有条件的上市公司随年报同时披露董事会对公司内部控制的自我评估报告。
(二)披露的形式载体各异,缺乏规范性 所谓载体是指在年报哪一部分披露相关信息的问题,也可以说是内控信息披露的位置。以11家上市商业银行的2008年报披露内控信息为例,有的在董事会报告中披露,有的在监事会的报告、公司治理报告中披露,还有的在年报的2至3处同时披露内控信息,形式载体不统一,缺乏规范性,如(表3)所示。
(三)定性介绍多,定量分析少 在相关财务信息披露时,定量分析较多。不仅有绝对数的披露而且有相对数的比较。然而,内控制信息披露时则是:“本行董事会负责内部控制基本制度的制定,并监督制度的执行;董事会下设审计委员会、风险管理委员会,履行内部控制管理的相应职责,评价内部控制的效能。可见,定性描述较多,缺少定量分析,更缺乏可比性。其次,大多商业银行的内部控制自我评估报告,虽根据“五要素”具体分析,但依然是定性描述。如工行在2008年报中关于“内部控制监督体系”是如此描述:“本行适应监管要求与风险管控的需要,以《内部控制规定》为基础,逐步确立了内部控制的建设执行部门与监督评价部门在内部控制监督与纠正体系中的职能,并且不断完善决策层、执行层和监督层检查监督制度,形成了不同层面人员共同监督内部控制有效性的机制”。
(四)正面效应反应较多,实质性缺陷揭示较少 德勤在2008年和2009年连续两年对国内上市公司的内部控制实施状况进行了跟踪调查,调查发现,有56%的公司没有建立或现有内部控制机制尚不完善,72%的公司认为其公司没有持续监控内部控制的有效机制,与2007年相比,在持续监控方面没有得到任何改善。然而,我国上市商业银行内控自我评价及在年报中的信息披露大多是健全、有效。以上市的4大国有商业银行2008年报内控信息披露为列,年报中所附的内控自评报告有详式全文,也有简式摘要,但报告中揭示的内控存在的不足只是一般性描述,如(表4)。对内控存在问题,工行在自评报告中如此描述:“存在一般性缺陷,尽管这些缺陷对全行经营管理活动的质量和与会计报表编制有关的内部控制流程的健全性、有效性尚不构成实质性影响。”中行是“截至2008年末,未发现本公司存在内部控制设计或执行方面尚未整改的重大缺陷。日常检查发现的内部控制存在的不足和缺陷可能导致的风险均在可控范围内。”建行是“评估中发现本行内部控制还存在一些有待改善的事项,但未发现在内部控制设计或执行方面存在重大缺陷”。相对比较具体地指出一些问题的是交行,其在报告中指出:“原有的部分控制措施可能出现一定不足,在执行层面也可能出现一定的操作偏差”.并同时分析了:“具体在信用风险管理、在市场风险管理、关联交易管理、海外行的管理措施、个别业务人员对内控措施的理解、执行还需加强”。
(五)内控评估要素相同,具体项目的差异较大 按COSO报告,内控评价包括五个相互有关联的组成要素,而各要素又包含具体项目、内容、评价标准等。然而我国上市银行的内部控制自评报告,虽工行、中行、建行以“五要素”为评估的核心内容,但各要素所包含的具体项目却各有偏好,其影响程度各有差异,内容、格式、语言描述上也各不相同。比较以“五要素”披露的工商银行和“非五要素”披露的交通银行2008年内部控制自我评估报告,其内控信息披露的具体测评点差异更为明显见(表5)。
(六)制度建设情况披露较多,风险评估与披露不足 从《内部控制整体框架》的“五要素”理论到《企业风险管理框架》“八要素”都强调风险评估的重要性。IAS第30号《银行和类似金融机构财务报告应揭示的信息》强调风险与控制:“上市商业银行的经营活动不同于其他的上市企业,因而,会计和报告的要求也不同。本号准则承认上市商业银行的特殊需要,并鼓励就涉及变现能力和风险的管理以及控制方面的事宜提供对财务报表的说明。”然而目前上市银行在“内部控制自我评估报告”中关于“风险评估”披露显然不充分,以2008年四大国有上市银行为例见(表6)。
三、上市银行内控信息披露质量建设的对策
(一)完善资本市场,推进内控信息的自愿性披露 自愿性披露已经引起了会计界、经济界和金融界众多学者的长期关注,并日益成为国内外理论界普遍关注的焦点。Grossman与Milgrom的研究对这个领域的理论发展具有开创性意义,他们认为在一个具有合理预期和披露成本为零的资本市场中,完全披露为管理者自愿性信息披露均衡。但这一理论的基本假设前提是完全竞争的资本市场,因此,理论与实践均表明,必须规范、完善资本市场,才会进一步提高信息披露的质量,才会使内控信息披露成为一自觉行为。
(二)分层设计,科学动态地完善内控信息披露制度 从理性的角度看,要想使内控信息披露真正发挥效用实现既定目标,按制度经济学的观点,需要打开制度层面的破冰之旅。在自律尚未达到有效均衡的制度下,信息披露是一个随着市场外部环境变化而不断变化动态的过程,建议将信息披露设计为“三层”:强制披露、自愿披露、特别披露。一方面制定公认的最低披露要求,并加强对披露行为的管束;另一方面,设定自愿披露的相关内容,鼓励信息透明;同时,以不断发展的观点,动态地设计“特别披露”的内容,逐步完善披露的规则、制度。按照现代风险导向审计的基本理论,重大错报风险的评估应考虑宏观经济、政策因素等,而不仅是账户、报表层面的舞弊,同理,内部控制评估及信息披露亦应如此,如在2009年金融危机的背景下,上市商业银行的风险识别及应对就应作为“特别披露”项目。信息披露的可比性和披露的规范性方面。除了在年报中明确强制披露、自愿披露和特别披露的载体外,还应对强制披露、特别披露的有标准化的要求,包括披露的要素、项目、具体内容、格式、方法、程度(如风险披露占多少比例)等,即使对于自愿披露的部分可由上市商业银行自行决定,但一旦决定披露则应有基本约束与范本。
(三)增强定量分析,明确内控要素及其控制子项 根据国际内部审计师协会(IIA)的定义,内部控制自我评估是检查和评估内部控制有效性的过程,其目的是对商业目标的可实现性提供合理的保证。美国的相关法律条款和实务都在早期对内部控制评价确定科学的评级标准提出了要求。国际上内部控制模型主要有COSO、COCO 、Cadbury/Turnbull和Malcolm Baldridge等多种控制模型。按照财政部等五部委的联合下发《企业内部控制基本规范》,内部控制评价主要运用的COSO模型,集中在控制环境、风险评估、控制活动、信息与沟通、监控等五项公认的要素上。从近些年的理论与实践看,以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证的相互联系、相互促进的“五要素”内部控制框架,是一个有机地融合了国际先进经验的基本规范。然而影响这些要素的主要因素有哪些、影响程度如何,上述模型中的具体控制子项或者说测评点设计是各有千秋。结合我国上市银行实际及资本市场监管现状,笔者认为,应仔细研究各要素所包含的具体控制子项并量化分析。
设: Ai、Bi、Ci、Di、Ei为“五要素”及相关控制子项;ai、bi、ci、di、ei为相对应的“五要素”的影响权重;Ai=Ai,i∈{1……nA};Z=(aiAi+biBi+ciCi+diDi+eiEi)
其中,N=Max{nA, , nB, nC, nD, nE}
最终,根据考虑内部控制各要素及其影响的子项的权重,综合打分得出的Z值的量化结果评价内部控制设计与执行,Z值的不同区间代表不同的内控评级。结合银行风险特征量化评估,对COSO报告中“风险评估”要素有效度量,能增强内部信息披露价值及风险防范的针对性及有效性。
(四)配套相关制度,加强监管部门在信息披露方面的强制约束作用 制度的价值在于能够产生良好的后果,制度本身明确而又具有操作性的依据,它直接决定内部控制自我评估内容和审核报告的标准化,从而决定着披露的信息含量。就内控信息披露及提高信息披露质量而言,该事物不是也不可能孤立存在,它需要一系列的机制相互作用,需要相关制度配套实施。首先,就制度体系或层面来看,不仅要有《企业内部控制基本规范》等制度就能实现其信息披露的有效性,制度设计至少应辅之有事前、事中、事后的一系列制度约束。如:事前的内部控制评估、事中的内部控制信息披露规范、事后的信息披露监管,以配套的一系列相互作用的制度作为提高信息披露质量的制度保证。其次,要完善内控评估的评价程序、方法及测评指标体系。由财政部、证监会、审计署、银监会、保监会联合发布的我国第一部“企业内控规范”,已在监管机构上构建了一个有效监管的基本框架,但在具体操作中还要进一步细化,尤其是测评指标。2006年《上海证券交易所上市公司内部控制指引》就以风险确认、风险评估、风险管理为主要内容的“八要素”进行评估并披露,然而,财政部等五部委的《企业内部控制基本规范》还是从“五要素”进行评估披露,这与银行业特点、业务特征、风险评估现状不相适应。因此,应考虑政策制度的衔接配套。要加强监管部门在信息披露方面的强制约束作用。结合我国目前自愿与强制内控信息披露的现状,在自律尚未达到有效均衡的制度下,监管往往成为有效的替代。
参考文献:
[1]李明辉、王学军:《上市商业银行内部控制信息披露研究》,《金融研究》2004年第5期。
[2]杨有红、陈凌云:《2007年沪市公司内部控制自我评价研究》,《会计研究》2009年第6期。
[3]范小雯、陈柳钦:《自愿性信息披露均衡机制研究》,《华侨大学学报(哲学社会科学版)》2007年第2期。
[4]Grossman,S.J.On the Impossibility of Informational Efficient Markets,American Economic Review,1981.
(编辑 梁 恒)
